Desmantelan una peligrosa botnet global que alimentaba proxies residenciales.
Lumen y sus socios interrumpen las operaciones del proxy NSOCKS.
Investigadores de seguridad de Black Lotus, una división de Lumen, han llevado a cabo una investigación sobre la botnet ngioweb durante más de un año, resultando en la interrupción significativa de esta infraestructura maliciosa. Tras identificar tanto la infraestructura como el tráfico relacionado, la empresa comenzó a bloquear el flujo de datos asociado a la botnet.
Detectada por primera vez a mediados de 2023, la botnet ngioweb hacía uso de más de 35,000 dispositivos comprometidos diariamente, distribuidos en 180 países. Estos dispositivos eran utilizados principalmente para operar el servicio proxy NSOCKS. Según Black Lotus, este servicio proxy, calificado como "notorio" en su naturaleza criminal, está vinculado a un actor de amenazas conocido como Muddled Libra. Además, hay indicios de que ha sido utilizado por actores estatales, como APT28 (también conocido como FancyBear), un grupo de amenazas reconocido de Rusia.
De acuerdo con los investigadores, aproximadamente el 80% de los bots de NSOCKS en su telemetría provienen de la botnet ngioweb, que a menudo utiliza enrutadores de pequeñas oficinas y dispositivos IoT. Dos tercios de estos proxies están ubicados en Estados Unidos.
La función de un servicio proxy permite a los actores maliciosos ejecutar diversas campañas mientras ocultan su identidad y ubicación verdaderas empleando un “proxy” como intermediario. Además de esta función, la botnet ngioweb también tenía la capacidad de realizar ataques de Denegación de Servicio Distribuidos (DDoS).
Lumen dedicó un año al análisis de la botnet y sus operaciones. Aunque no se logró determinar de manera exacta cómo fue comprometido el hardware, se especula que puede haber ocurrido a través de diversas vulnerabilidades conocidas.
En consecuencia, en el momento de la publicación, tanto el servicio proxy NSOCKS como la botnet ngioweb se están viendo seriamente afectados por las acciones de Lumen y sus aliados, tras haber descubierto tanto la arquitectura como el tráfico de la botnet.
